View
2.389
Download
3
Category
Preview:
Citation preview
Amazon CognitoMobile Identity Management and Data Synchronization
Keisuke Nishitani (@Keisuke69)Amazon Web Services Japan K.K.
May 18, 2016
Profile
Keisuke NishitaniSolutions Architect, Amazon Web Service Japan K.K
@Keisuke69 Keisuke69
✤ AWS のソリューションアーキテクト✤ Web サービス系✤ モバイル系
✤ クラウドを使ったアプリ開発とかモバイル開発の話しをよくしています✤ モバイルニンジャ1号機✤ REST おじさん✤ Lambda Wizards
✤ 餃⼦の王将エヴァンジェリスト(⾃称)
Keisuke69 Keisuke69Keisuke69x
AWS Black Belt Online Seminer へようこそ!✤ 質問を投げることができます!
✤Adobe Connect のチャット機能を使って、質問を書き込んでください。(書き込んだ質問は、主催者にしか⾒えません)
✤Twitterへツイートする際はハッシュタグ #awsblackbelt をご利⽤ください。
①画⾯右下のチャットボックスに質問を書き込ん
でください
②吹き出しマークで送信してくださ
い
内容についての注意点✤ 本資料では2016年5⽉18⽇時点のサービス内容および価格についてご
説明しています。最新の情報は AWS 公式ウェブサイト(http://aws.amazon.com) にてご確認ください。
✤ 資料作成には⼗分注意しておりますが、資料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合、AWS 公式ウェブサイトの価格を優先とさせていただきます。
✤ 価格は税抜表記となっています。⽇本居住者のお客様がサービスを使⽤する場合、別途消費税をご請求させていただきます。AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
モバイル開発における課題
付加価値を⽣まない重労働
どうやって差別化するか
アプリ開発、とくに差別化のための開発に集中したい
モバイル開発における課題
開発者が直⾯する課題
• 複数プラットフォーム• スケーラビリティの確保• ⾼い運⽤管理コストと限られた予算• ユーザエクスペリエンスの阻害• ユニークなユーザ ID の管理
モバイルアプリケーションアイデンティティの管理と認可
データ同期アクティブなユーザの分析
エンゲージメントの分析Push 通知
イベントトリガークロスプラットフォーム
データのバリデーションと変換ファイル/メディア保管⽤ストレージ
データベースAnd More….
AWS Cloud Infrastructure
AWS Mobile サービス
Cognito
Kinesis DynamoDB S3 SQS SES
グローバルインフラ
コアとなるサービス群
モバイルに最適化されたコネクタ
モバイルに最適化されたサービス
AWS SDK for Android
ストレージ データベース キュー メール コンピュートネットワーク
AWS Mobile SDK
Mobile Analytics SNS Mobile Push
AWS SDK for iOS AWS SDK for Unity
あなたのモバイルアプリ
ゲーム ユーティリティ ファイナンス エンターテインメント
Lambda
Device Farm API Gateway
AWS SDK for JavaScript
ソーシャル
AWS Mobile SDK✤ 全てのサービスに共通の認証機構✤ オンライン・オフラインを⾃動でハンドリ
ング✤ クロスプラットフォームのサポート:
Android, iOS, Fire OS, Unity, Xamarin✤ Mobile OS への最適化
例: ローカルオフラインキャシュを利⽤するアーキテクチャ
✤ メモリフットプリントの削減✤ 各プラットフォームのエンハンスに追従
iOS Android Fire OS Unity
Xamarin
典型的なユースケースユーザユーザ認証をしたい適切な権限を与えたい⾏動分析をしたい
データデータの同期をしたいデータベースを使いたいセンサーデータを送りたい
メディアファイル画像/⾳楽を保存したいアセットを配信したい
ロジックサーバサイドで処理したい独⾃ API を⽤意したい
メッセージプッシュ通知を送りたい
テスト実機でテストしたい
<TEST/>
典型的なユースケースユーザ データ メディアファイル
ロジック メッセージ テスト
<TEST/>
Amazon Cognito
AWS Identity and Access Management
Amazon Mobile Analytics
Amazon DynamoDB
Amazon Kinesis
Amazon CloudFront
Amazon S3Transfer Manager
AWS Lambda
API Gateway
Amazon SNS Mobile Push AWS Device Farm
Amazon Cognito
インフラ構築✤ インフラの運⽤管理
✤ キャパシティ✤ スケール✤ デプロイ✤ 耐障害性✤ モニタリング✤ ロギング
✤ ビジネスの差別化には直接つながらない機能のアプリ実装✤ 認証✤ スロットリング✤ スケーラビリティの確保✤ etc
インフラ構築✤ インフラの運⽤管理
✤ キャパシティ✤ スケール✤ デプロイ✤ 耐障害性✤ モニタリング✤ ロギング
✤ ビジネスの差別化には直接つながらない機能のアプリ実装✤ 認証✤ スロットリング✤ スケーラビリティの確保✤ etc
不要
不要
不要(各サービスが
適切にハンドリング)
Amazon Cognito
IdP をまたがった認証済みユーザと
ゲストユーザの管理
統合的なアイデンティティの管理
クロスデバイス/クロスプラットフォームなユーザデータの同期
データ同期
AWS サービスへのセキュアなアクセス
AWSへのセキュアなアクセス
GuestYour own auth
Amazon Cognito Identity Amazon Cognito Sync
Amazon Cognitoのこれまで
k/v data
Amazon Cognito SyncUser Data Storage andSync
Any Platform
iOS/Android/FireOS
ユーザのデータ、設定や情報を保存アプリとデバイスのデータをクラウドに保存でき、ログイン後にマージ
クロスデバイス/クロス OS な同期数⾏のコードでデバイスやプラットフォームをまたがってユーザのデータや設定を同期
オフライン動作データは常にローカルの SQLite にまず保存されるので電波が不安定もしくは不通であってもシームレスに動作
k/v data
Identity pool
バックエンド不要スケーラブルで信頼性の⾼いデータ同期基盤をシンプルなクライアント SDK を組み込むだけで利⽤可能
AmazonAPI Gateway
Sign in with Facebook
Or
UsernamePassword
Sign In
Or
Start as a guest
Amazon Cognito Identity統合的なアイデンティティと AWS サービスへの
セキュアなアクセス
サードパーティのアイデンティティプロバイ
ダによる認証
Amazon Cognito Identity
ゲストアクセス
独⾃の認証システムによる認証
AWS リソースへセキュアにアクセスするための⼀時的な認証情報を提供
AmazonDynamoDB
Amazon S3
ID プロバイダゲストアクセス独⾃認証システム
ユニーク ID
Joe Anna Bob
デバイスプラットフォーム
AWS サービス
複数の ID プロバイダをサポートID プロバイダと簡単に連携して認証Amazon, Facebook, Twitter, Google, OpenID Connect などに対応
ユニークなアイデンティティ認証済ユーザに対してユニークIDを割り当て、デバイスやプラットフォームをまたがって認識と管理
Amazon Cognito Identity
Mobile Analytics
S3 DynamoDB Kinesis
容易なセキュリティのベストプラクティス実装モバイルデバイスから AWS リソースへのセキュアなアクセスのためのやり取りをIAMと連携して簡略化
Amazon Cognitoの認証フロー
Amazon Cognito ID(Temp Credentials)
Amazon DynamoDB
End Users
Developer
App with AWS Mobile SDK
Accessto AWS Services
Amazon Cognito Identity Broker
User Name Password
Amazon Cognito ID, Temp Credentials
Amazon S3
Amazon Mobile Analytics
Amazon Cognito Sync Store
AWS Management
Console
TokenPool ID
Role ARNs
User Authentication System
(Running on AWS or not)
Token
未認証ユーザのゲストアクセス(Unauthenticated Identities)✤ ID プロバイダで認証をしていないユーザをゲスト
ユーザとしてユニーク ID の付与と管理✤ 未認証の場合、ID はデバイスと紐づくので同⼀デバイスから
のアクセスの場合に同⼀ユーザとして認識される✤ 未認証によるアクセスを許可しない設定も可能
✤ アプリや AWS リソースへのアクセスにアカウントの作成や認証が不要✤ アクセス権限は未認証ユーザに対して割り当てた IAM Role の
ポリシーに基づく✤ センサーデバイス等のスクリーンや⼊⼒装置のないデバイス
に対してもユニーク ID の付与と管理が可能
✤ データはクラウド上に保存され後からログインした場合は⾃動でマージ
VisitorPreferences
Cognito Store
Guest
EC2 S3 DynamoDB Kinesis
(参考)OpenID Connect✤ 2014年2⽉に最終承認された ID 連携に関する仕様
✤ 準拠している ID プロバイダを Cognito でも利⽤可能例:Salesforce, Ping Identity, Google etc…
Amazon Cognito Identity統合的なアイデンティティとAWSサービスへの
セキュアなアクセス
サードパーティのアイデンティティプロバイ
ダによる認証
Developer Authenticated Identities
ゲストアクセス
独⾃の認証システムによる認証
Sign in with Facebook
Or
UsernamePassword
Sign In
Or
Start as a guest
独⾃形式のユーザ ID で認証したい場合、認証システムを実装して連携することで可能
Developer Authenticated Identity
UsernameAnd Password
独⾃認証システム
パブリック ID プロバイダの併⽤Cognito の ID を元にパブリックな ID プロバイダと独⾃認証を併⽤して管理することも可能
認証基盤の実装が必要GetOpenIdTokenForDeveloperIdentity() を実装する既存の認証基盤を使う場合、改修が必要
独⾃認証システムの利⽤パブリックなIDプロバイダではなく独⾃のUsername と Password を使って認証
Amazon Cognitoの認証フロー(Developer Authenticated Identities)
Amazon Cognito ID(Temp Credentials)
Amazon DynamoDB
End Users
Developer
App with AWS Mobile SDK
Accessto AWS Services
Amazon Cognito Identity Broker
Get OpenID Token
User Name Password
Amazon Cognito ID, Temp Credentials
Amazon S3
Amazon Mobile Analytics
Amazon Cognito Sync Store
AWS Management
Console
OIDC TokenPool ID
Role ARNs
独⾃認証システム(AWS上で稼働していなくてもOK)
OIDC Token
OIDC Token
Photo credit: jerryfergusonphotography via Visualhunt / CC BY
Developer Authenticated Identitiesの課題
✤ 開発者は「付加価値を⽣まない重労働」に従事しなければいけない✤ディレクトリの構築と維持✤セキュリティ権限の取得✤パスワード紛失といったワーク
フローのサポート✤ユーザベースの成⻑にあわせた
スケール
Developer Authenticated Identities の課題
Amazon Cognito Identity User Pools (Beta)
モバイルおよび Web アプリにサインアップとサインイ
ンの機能を簡単に追加
ユーザ管理を簡単に
電話番号や email アドレスの検証と多要素認証の提供
拡張されたセキュリティ機能
数億のユーザまでスケールするユーザディレクトリを作成・管理するシンプル、セキュア、低コストでフル
マネージドなサービス
マネージド型ユーザディレクトリ
幅広いユーザシナリオ
Email もしくは電話番号による確認
パスワード紛失
ユーザのサインアップとサインイン
アカウントを確認するためのEmail アドレスや電話番号の検証
パスワードを紛失した場合にユーザは⾃分⾃⾝でパスワード変更可能
Email、電話番号もしくはユーザ名とパスワードを使⽤したサインアップサインアップ後のサインイン
ユーザプロファイル カスタム属性を含むユーザプロファイルの取得と更新
SMS ベースの MFA 有効にすると、サインアップ、パスワード紛失におけるフローの⼀環としてSMS を通じた確認コードによる多要素認証(MFA)を利⽤可能
幅広い管理者シナリオ
ユーザプール内のユーザ管理
Email と電話番号の確認
AWS Lambda によるカスタマイズ
パスワードポリシーのセットアップ
ユーザプールの作成と管理
ユーザプール内の特定ユーザのリスト、検索、アクション実⾏
アカウントの有効化前に SMS を通じてユーザの email アドレスと電話番号を検証する設定(SMS経由)
ワークフローをカスタマイズするためにAWS Lambda のファンクションを作成
最⼩⽂字数、⼤⽂字、特殊⽂字を含めるといったパスワード要件のコントロール
AWS アカウント内に複数のユーザプールを作成、構成、削除可能
属性の定義 必要な属性の選択とカスタムユーザ属性の定義
セキュアなサインインを簡単に
トークンベースの認証
Secure Remote Password プロトコル
SMS ベースの多要素認証(MFA)
OpenID Connect (OIDC) とOAuth2.0の標準をベースとしたトークンを利⽤
end to end でセキュアにパスワードを取り扱うために Secure Remote Password (SRP) プロトコルを使⽤
セキュリティの外部レイヤとして携帯電話のテキストメッセージ機能をエンドユーザが利⽤可能
Amazon Cognitoと統合されたアイデンティティ
Amazon CognitoUser Pool
User
サインイン1
アクセストークンと ID トークンの返却
2
Amazon Cognito -Federated Identities(Identity Pool)AWS内の認証情報を
取得
3
AWSサービスへのアクセス
4
AmazonDynamoDB
AmazonS3
AmazonAPI Gateway
ユーザ属性✤ 標準で⽤意されている16種類の属性に加え最⼤25個まで任意のカスタ
ム属性を追加可能✤ 標準で⽤意されている属性は設定で required にチェックを⼊れるとサ
インアップ時に必須な情報となる✤ Email や電話番号を使ってサインインしたい場合はエイリアスを利⽤
する✤ カスタム属性
✤⽂字列もしくは数値で定義可能✤最⼤/最⼩⽂字数を設定可能✤暗号化され、検索不可
ユーザ属性属性名 エイリアス利⽤化 備考address
birth_date
email ✓ 検証可能family_name
gender
given_name
locale
middle_name
nickname
phone_number ✓ 検証可能国番号が必須(+81など)ハイフン不要
picture
preferred_username ✓ reqiuredとariasの両選択は不可profile
timezone
username プール内でユニークであること常に必須
website
パスワードポリシーの設定✤ よくあるパスワードポリシーを設定可能
✤最⼩⽂字数(6⽂字以上)✤⼤⽂字が必ず含まれること✤数字が必ず含まれること✤以下の特殊⽂字が必ず含まれること
^ $ * . [ ] { } ( ) ? - “ ! @ # % & / , > < ‘ : ; | _ ~ `
Email と電話番号の検証✤ 検証コードを Email もしくは SMS で送信することで⾃動的に有効性
を検証可能✤ 設定を有効にしておくとユーザ登録時もしくは「email」もしくは
「phone_number」の値が追加された時に⾃動で送信される✤ クライアントアプリ側では検証コードが必要かどうかが判別可能なの
でユーザに検証コードを促す UI を⽤意する✤ Email や電話番号を使わずに独⾃の⽅法で検証したい場合は「pre-
signup」フックと AWS Lambda を利⽤する
MFA(Multi Factor Authentication)✤ SMS を利⽤した多要素認証をサポート✤ 必須にすることもユーザに選択させることも可能✤ MFAを有効にした場合は「phone_number」が必須になる✤ クライアントアプリでサインイン時にユーザ名とパスワードだけでな
くコード⼊⼒の UI を⽤意する✤ ベータ期間中は SMS の送信元番号は変更不可
AWS Lambda を使ったカスタマイズ
AWS Lambda フック 例
Pre user sign-upサインアップリクエストを許可/拒否するためのカスタムバリデーション
Custom message検証メッセージのカスタマイズとローカライズ
Pre user sign-inサインインリクエストの拒否/許可するためのカスタムバリデーション
Post user sign-in カスタム分析のためのイベントロギング
Post user confirmationウェルカムメッセージやカスタム分析のためのイベントロギング
Pricing✤ MAU(Monthly Active User)に基いて課⾦
✤サインアップ、サインイン、トークンの更新またはパスワードの変更などの操作が発⽣したユーザ
✤ 50000 MAUの無料利⽤枠
MAU MAUあたりの料⾦最初の 50,000 MAU まで 無料
次の 50,000 MAU まで 0.00550 USD
次の 900,000 MAU まで 0.00460 USD
次の 9,000,000 MAU まで 0.00325 USD
10,000,000 MAU を超える分 0.00250 USD
Demo
Photo credit: rolands.lakis via VisualHunt.com / CC BY
資料の配置場所✤ AWS クラウドサービス活⽤資料集
✤ http://aws.amazon.com/jp/aws-jp-introduction/
✤ AWS Solutions Architect ブログ✤最新の情報、セミナー中のQ&A等が掲載されています✤ http://aws.typepad.com/sajp/
公式Twitter/FacebookAWSの最新情報をお届けします
@awscloud_jp検索
最新技術情報、イベント情報、お役⽴ち情報、お得なキャンペーン情報などを⽇々更新しています!
もしくはhttp://on.fb.me/1vR8yWm
Recommended